През 2023 г. изследовател по сигурността на име Бар Ланядо проведе тих експеримент. Той забеляза, че асистентите за кодиране с изкуствен интелект непрекъснато препоръчват пакет на Python, наречен прегръщащо лице-кли, пакет, който не съществуваше. Затова той го създаде: празен заместител, качен под точното име, което моделите измисляха. Не добави никаква функционалност, нито полезен товар. Просто чакаше.
В рамките на три месеца пакетът беше изтеглен повече от 30 000 пъти. Халюцинираната команда за инсталиране дори беше попаднала в публично хранилище README, принадлежащо на голяма технологична компания. Пакетът на Ланядо беше безобиден. Но експериментът доказа нещо обезпокоително: атакуващ може да предвиди какво ще измисли изкуствен интелект, първо да го регистрира и да позволи на разработчиците сами да го инсталират. Тази техника вече има име, небрежно клекнане, и това е една от най-бързо развиващите се заплахи във веригата за доставки на софтуер.
Какво е клекнало?
Клекването е атака срещу веригата за доставки в който атакуващ регистрира пакет със зловреден софтуер под име, което асистентите за кодиране с изкуствен интелект предвидимо халюцинират. Когато разработчик поиска помощ от инструмент с изкуствен интелект и той предложи инсталиране на правдоподобно звучаща, но несъществуваща зависимост, нападателят вече е заявил това име в публичния регистър, така че „полезното“ предложение инсталира зловреден софтуер вместо нищо.
Терминът беше въведен през април 2025 г. от Сет Ларсън, разработчик по сигурността в Python Software Foundation. Това е игра на думи с печатарски скуотинг, по-старата атака, при която престъпниците регистрират правописни грешки в популярни пакети (заявки вместо искания). Разликата е източникът на грешката: типосквотингът използва човешки печатни грешки, докато слопсквотингът използва „помията“ на изкуствения интелект: уверения, плавен, грешен изход, който големите езикови модели произвеждат.
Защо клековете с небрежност всъщност работят
Може би си мислите, че халюцинациите, свързани с изкуствения интелект, са случаен шум: различно фалшиво име всеки път, невъзможно за използване като оръжие. Изследванията твърдят друго и това е цялата идея.
Рецензирано проучване, представено на USENIX Security 2025 (Spracklen et al.) тества 16 големи езикови модела върху 576 000 генерирани примерни кода. Установи, че 19.7% от препоръчаните пакети не съществуват: общо 205 474 уникални халюцинирани имена. Важно е да се отбележи, че тези халюцинации бяха повторяем43% от фалшивите имена са се появявали отново при повтарящи се запитвания, а 58% са се появявали отново при десет изпълнения на едно и също запитване. Моделите с отворен код са халюцинирали пакети в 21.7% от случаите; дори търговски модели като GPT-4 са го правили в 5.2% от случаите: един на двадесет.
Повторяемостта е това, което превръща една странност в атака. Нападателят не е нужно да гадае. Той може да изпълнява популярни подкани, да записва кои несъществуващи пакети моделите продължават да предлагат и да регистрира тези имена като зловреден софтуер. Изкуственият интелект извършва насочването вместо него.
Как се развива атака с клекнало положение
Веригата от атаки е кратка, което е част от причината тя да е опасна:
- Наблюдавайте. Атакуващият подканва асистентите по кодиране с изкуствен интелект с често срещани задачи за разработка и регистрира имената на пакетите, които тези инструменти са измислили, но не съществуват в системния регистър.
- Регистрирам. Те публикуват зловреден пакет под едно от тези халюцинирани имена, с чист README файл, правдоподобни метаданни и полезен товар, скрит в инсталационен скрипт.
- Изчакайте. Разработчик (или автономен кодиращ агент) задава подобен въпрос на инструмент с изкуствен интелект, получава същата халюцинирана препоръка и изпълнява инсталирам.
- Изпълни. Инсталационният кук на пакета се задейства, извличайки тайни, отваряйки обратна обвивка или поставяйки задна вратичка, а компрометирането се предава надолу по веригата към компилациите и продукцията.
Автономните агенти за кодиране правят стъпка 3 много по-вероятна. Агент, който инсталира зависимости без човешка проверка, премахва единствената контролна точка, където разработчикът може да се спре и да си помисли: „Никога не съм чувал за този пакет.“
Колко е лошо, наистина?
Влошава се, не се подобрява. Проучването на USENIX тества 16 модела и все пак установи, че почти един от всеки пет препоръчани пакета не съществува, така че това не е проблем, ограничен само до по-стари или по-слаби инструменти. А асистент по кодиране, работещ само с данни за обучение, няма начин да разбере дали името на пакета, което току-що е предложил, е безопасно, халюцинирано или вече е маркирано като зловреден софтуер: той няма преглед на системния регистър в реално време. Това не е лабораторно любопитство. Това е точното поведение, на което разработчиците сега разчитат десетки пъти на ден.
Небрежното използване на злонамерени програми също се увеличава с по-широкия срив в хигиената на веригата за доставки. През 2025 г. кампаниите с голям обем злонамерени пакети се превърнаха в основен оперативен модел за атаки срещу веригата за доставки, както документира „Нови тенденции в атаките срещу приложения за 2026 г.“ на Xygeni: атакуващите публикуват в големи количества, приемат бързи сваляния и разчитат на вероятност, а халюцинациите на изкуствения интелект им осигуряват постоянен поток от имена с висока конверсия за регистрация.
Как да се защитим от небрежно клякане
Неудобната истина е, че инструментите, базирани на сигнатури, не могат да открият това. Небрежният пакет е чисто нов; не съществува CVE, не съществува сигнатура и може да е активен само часове преди да бъде премахнат, достатъчно дълго, за да натрупа хиляди инсталации. Ефективната защита се основава на четири практики:
- Никога не инсталирайте пакет, предложен от изкуствен интелект, без да проверите дали съществува и е легитимен. Проверете истинската история на изтеглянията, поддържащия и хранилището, не само дали името звучи правилно.
- Откривайте зловреден софтуер по поведение, а не по сигнатури. Оценете пакета по време на публикуване въз основа на действията му по време на инсталиране, мрежовите повиквания и модели на обфускация, така че злонамерен пакет се маркира в момента на появата му, а не след като вече е известен.
- Поставете защитна стена за зависимости между разработчиците и системния регистър. Поставяйте подозрителни или чисто нови пакети под карантина автоматично, преди да достигнат до компилация, вместо да се доверявате по подразбиране на публичния регистър.
- Инвентаризирайте какъв изкуствен интелект работи във вашия pipeline. Асистентите за кодиране и автономните агенти, които инсталират зависимости, са част от вашата повърхност за атака. AI спецификация на материалите (AI-BOM) прави това видимо.
Клякането по небрежност е един от симптомите на по-голяма промяна
Небрежното поведение е най-яркият пример за по-широк модел: изкуственият интелект вече е едновременно нещото, което пише вашия код, и нещото, което атакуващите посочват във вашата верига за доставки. Защитата срещу него изолирано не е достатъчна; тя принадлежи на по-широка стратегия. За пълната картина вижте нашето ръководство за Сигурност на веригата за доставки с изкуствен интелект, който обхваща злонамерени пакети, Рискове от MCPи генериран от изкуствен интелект код, наред със защитните мерки, които ги адресират.
Спрете да клякате небрежно, преди да е стигнало до тялото ви
Най-ефективното място за спиране на небрежен пакет е моментът, в който разработчикът се опита да го инсталира, преди инсталационният скрипт да се изпълни. Това е, което Ксигени Щит прави. Shield е лек агент на крайната точка на разработчика, който блокира злонамерени пакети по време на инсталиране, използвайки Ранно предупреждение за злонамерен софтуер (MEW) вердикти, които работят преди да съществува какъвто и да е подпис. Когато асистент с изкуствен интелект предложи халюцинирана зависимост и разработчикът изпълни инсталирам, Shield оценява пакета, докато е изтеглен, и го блокира: злонамереният скрипт след инсталиране никога не се изпълнява и екипът по сигурността вижда опита с пълен контекст.
Тъй като MEW оценява поведението на пакета в момента на публикуването му (действия по време на инсталиране, мрежови извиквания, модели на обфускация), Shield улавя точно чисто новите, все още без подпис пакети, от които зависи небрежното използване, заедно с типографските грешки, объркването на зависимостите и компрометирането от страна на поддържащия. Всеки блок се подава в същата Xygeni конзола като вашия код, компилация и резултати по време на изпълнение, така че няма нови. dashboard и без нови взаимоотношения с доставчици, а Shield работи успоредно със съществуващия ви EDR, а не срещу него.
Започнете безплатно. Планът за разработчици на Xygeni е 0 евро: 10 хранилища, 200 сканирания на месец, до 5 сътрудници, без кредитна карта. Sign up with GitHub, GitLab или Google и стартирайте първото си сканиране за по-малко от 10 минути; Защитата на крайните точки Shield скоро ще бъде достъпна в плана за разработчици.
Често задавани въпроси
Небрежното клякане реална заплаха ли е или само теоретична?
Реално е. Доказателство за концепция от 2023 г. от изследователя Бар Ланядо видя пакет-заместител под халюцинирано име (прегръщащо лице-кли) изтеглени повече от 30 000 пъти за три месеца. Проучване на USENIX Security 2025 установи, че 19.7% от препоръчаните от изкуствен интелект пакети не съществуват и 43% от тези халюцинирани имена се повтарят в подканите, което означава, че нападателите могат да ги предвидят и регистрират.
Каква е разликата между небрежно клякане и типоскляне?
Типоскопирането използва човешки печатни грешки, като регистрира правописни грешки на популярни пакети (заявки за искания). Небрежното използване на халюцинации на изкуствения интелект (ИИ) чрез регистриране на уверени, но грешни имена на пакети, измислени от големи езикови модели. И двете целят да подведат разработчика да инсталира зловреден пакет, но грешката, която използват като оръжие, е различна.
Мога ли да се доверя на асистентите за кодиране с изкуствен интелект да предлагат зависимости?
Не без проверка. Дори водещи търговски модели халюцинират пакети, които не съществуват, в около 5% от случаите, а по-нов анализ установи, че близо 28% от предложенията за надграждане на зависимости от текущ модел са били халюцинирани. Винаги проверявайте дали предложеният пакет наистина съществува и е легитимен, преди да го инсталирате.
Как да защитя кодовата си база от небрежност?
Проверявайте пакетите, предложени от ИИ, преди да ги инсталирате, откривайте злонамерен софтуер по поведение по време на публикуване, вместо да чакате сигнатура, поставете защитна стена за зависимости между разработчиците и публичните регистри и поддържайте AI-BOM инвентар на инструментите и агентите на ИИ, работещи във вашата система. pipeline.




